Vytvoření naplánovaného analytického pravidla od začátku
Nastavili jste konektory a další prostředky shromažďování dat aktivit napříč vašimi digitálními aktivy. Teď potřebujete projít všechna tato data, abyste zjistili vzory aktivit a zjistili aktivity, které neodpovídají těmto vzorům a které by mohly představovat bezpečnostní hrozbu.
Microsoft Sentinel a její mnoho řešení poskytovaných v centru obsahu nabízejí šablony pro nejčastěji používané typy analytických pravidel a důrazně doporučujeme tyto šablony využít a přizpůsobit je tak, aby vyhovovaly vašim konkrétním scénářům. Je ale možné, že budete potřebovat něco úplně jiného, takže v takovém případě můžete vytvořit pravidlo úplně od začátku pomocí průvodce analytickým pravidlem.
Tento článek popisuje proces vytvoření analytického pravidla od začátku, včetně použití průvodce analytickým pravidlem. K průvodci se připojí snímky obrazovky a pokyny pro přístup k průvodci na webu Azure Portal i na portálu Defender.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Požadavky
Musíte mít roli Přispěvatel Služby Microsoft Sentinel nebo jakoukoli jinou roli nebo sadu oprávnění, která zahrnují oprávnění k zápisu do pracovního prostoru služby Log Analytics a její skupiny prostředků.
Měli byste mít alespoň základní znalost datových věd a analýz a dotazovací jazyk Kusto.
Měli byste se seznámit s průvodcem analytickým pravidlem a všemi dostupnými možnostmi konfigurace. Další informace najdete v tématu Naplánovaná analytická pravidla v Microsoft Sentinelu.
Návrh a sestavení dotazu
Než začnete dělat něco jiného, měli byste navrhnout a sestavit dotaz v dotazovací jazyk Kusto (KQL), který pravidlo použije k dotazování jedné nebo více tabulek v pracovním prostoru služby Log Analytics.
Určete zdroj dat nebo sadu zdrojů dat, které chcete vyhledat, abyste zjistili neobvyklou nebo podezřelou aktivitu. Vyhledejte název tabulky Log Analytics, do které se ingestují data z těchto zdrojů. Název tabulky najdete na stránce datového konektoru pro daný zdroj. Jako základ pro váš dotaz použijte tento název tabulky (nebo funkci založenou na ní).
Rozhodněte, jaký druh analýzy má tento dotaz s tabulkou provádět. Toto rozhodnutí určí, které příkazy a funkce byste měli použít v dotazu.
Rozhodněte, které datové prvky (pole, sloupce) chcete z výsledků dotazu použít. Toto rozhodnutí určí, jak strukturujete výstup dotazu.
Sestavte a otestujte své dotazy na obrazovce Protokoly . Až budete spokojeni, uložte dotaz pro použití ve vašem pravidlu.
Některé užitečné tipy pro vytváření dotazů Kusto najdete v tématu Osvědčené postupy pro dotazy na analytické pravidlo.
Další pomoc s vytvářením dotazů Kusto najdete v tématu dotazovací jazyk Kusto v Microsoft Sentinelu a osvědčených postupech pro dotazy dotazovací jazyk Kusto.
Vytvoření analytického pravidla
Tato část popisuje, jak vytvořit pravidlo pomocí portálů Azure nebo Defender.
Začínáme s vytvářením pravidla naplánovaného dotazu
Začněte tím, že přejdete na stránku Analýza v Microsoft Sentinelu a vytvoříte naplánované analytické pravidlo.
Pro Microsoft Sentinel na webu Azure Portal v části Konfigurace vyberte Analýza.
Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Analytics.Vyberte +Vytvořit a vyberte Pravidlo naplánovaného dotazu.
Pojmenujte pravidlo a definujte obecné informace.
Na webu Azure Portal jsou fáze vizuálně reprezentovány jako karty. Na portálu Defender jsou vizuálně reprezentované jako milníky na časové ose.
Zadejte následující informace pro vaše pravidlo.
Pole Popis Jméno Jedinečný název pravidla Popis Bezplatný textový popis pravidla. Závažnost Shodujte s dopadem, který aktivita aktivující pravidlo může mít v cílovém prostředí, pokud by pravidlo mělo pravdivě pozitivní výsledek.
Informační: Žádný dopad na váš systém, ale informace můžou značit budoucí kroky plánované aktérem hrozeb.
Nízká: Okamžitý dopad by byl minimální. Objekt actor hrozby bude pravděpodobně muset před dosažením dopadu na prostředí provést několik kroků.
Střední: Objekt actor hrozby může mít nějaký vliv na prostředí s touto aktivitou, ale v rozsahu by byl omezený nebo vyžadoval další aktivitu.
Vysoká: Identifikovaná aktivita poskytuje aktér hrozby s širokým rozsahem přístupu k provádění akcí v prostředí nebo se aktivuje dopadem na prostředí.MITRE ATT&CK Vyberte aktivity hrozeb, které se vztahují na vaše pravidlo. V rozevíracím seznamu si můžete vybrat z taktiky a technik MITRE ATT&CK . Můžete provést více výběrů.
Další informace o maximalizaci pokrytí hrozby MITRE ATT&CK najdete v tématu Vysvětlení pokrytí zabezpečení architekturou MITRE ATT&CK®.Stav Povoleno: Pravidlo se spustí okamžitě po vytvoření nebo v konkrétním datu a čase, které se rozhodnete naplánovat (aktuálně ve verzi PREVIEW).
Zakázáno: Pravidlo se vytvoří, ale nespustí se. Pokud ho budete potřebovat, můžete ho později povolit na kartě Aktivní pravidla .Vyberte Další: Nastavení logiky pravidla.
Definování logiky pravidla
Dalším krokem je nastavení logiky pravidla, která zahrnuje přidání dotazu Kusto, který jste vytvořili.
Zadejte konfiguraci dotazu pravidla a vylepšení upozornění.
Nastavení Popis Dotaz pravidla Vložte dotaz, který jste navrhli, vytvořili a otestovali do okna dotazu pravidla . Každá změna, kterou v tomto okně uděláte, se okamžitě ověří, takže pokud dojde k nějakým chybám, zobrazí se pod oknem indikace. Mapování entit Rozbalte mapování entit a definujte až 10 typů entit rozpoznaných službou Microsoft Sentinel na pole ve výsledcích dotazu. Toto mapování integruje identifikované entity do pole Entity ve schématu upozornění.
Úplné pokyny k mapování entit najdete v tématu Mapování datových polí na entity v Microsoft Sentinelu.Vlastní podrobnosti o zařízení Surface v upozorněních Rozbalte vlastní podrobnosti a definujte všechna pole ve výsledcích dotazu, která chcete v upozorněních zobrazit jako vlastní podrobnosti. Tato pole se zobrazí také v jakýchkoli incidentech, které mají za následek.
Úplné pokyny k zpřístupnění vlastních podrobností najdete v tématu Podrobnosti o vlastních událostech surface v upozorněních v Microsoft Sentinelu.Přizpůsobení podrobností upozornění Rozbalte podrobnosti výstrahy a přizpůsobte vlastnosti jinak standardní výstrahy podle obsahu různých polí v jednotlivých výstrahách. Přizpůsobte si například název nebo popis upozornění tak, aby obsahoval uživatelské jméno nebo IP adresu, které jsou v upozornění doporučené.
Úplné pokyny k přizpůsobení podrobností výstrah najdete v tématu Přizpůsobení podrobností výstrahy v Microsoft Sentinelu.Naplánujte a využte rozsah dotazu. V části Plánování dotazů nastavte následující parametry:
Nastavení Popis / možnosti Spuštění dotazu vždy Řídí interval dotazu: jak často se dotaz spouští.
Povolený rozsah: 5 minut až 14 dní.Vyhledávací data z posledního Určuje období zpětného vyhledávání: časové období pokryté dotazem.
Povolený rozsah: 5 minut až 14 dní.
Musí být delší nebo roven intervalu dotazu.Spustit Automaticky: Pravidlo se spustí poprvé po vytvoření a potom v intervalu dotazu.
V konkrétním čase (Preview): Nastavte datum a čas pro první spuštění pravidla, po kterém se spustí v intervalu dotazu.
Povolený rozsah: 10 minut až 30 dnů po vytvoření pravidla (nebo povolení).Nastavte prahovou hodnotu pro vytváření upozornění.
Pomocí oddílu Prahová hodnota výstrahy definujte úroveň citlivosti pravidla. Například nastavte minimální prahovou hodnotu 100:
Nastavení Popis Generování upozornění při počtu výsledků dotazu Je větší než Počet událostí 100
Pokud nechcete nastavit prahovou hodnotu, zadejte
0
do číselného pole.Nastavení seskupení událostí
V části Seskupení událostí zvolte jeden ze dvou způsobů, jak seskupit události do výstrah:
Nastavení Chování Seskupení všech událostí do jednoho upozornění
(výchozí)Pravidlo vygeneruje při každém spuštění jednu výstrahu, pokud dotaz vrátí více výsledků než zadaná prahová hodnota upozornění výše. Tato jediná výstraha shrnuje všechny události vrácené ve výsledcích dotazu. Aktivace upozornění pro každou událost Pravidlo vygeneruje jedinečnou výstrahu pro každou událost vrácenou dotazem. To je užitečné, pokud chcete, aby se události zobrazovaly jednotlivě, nebo pokud je chcete seskupit podle určitých parametrů – podle uživatele, názvu hostitele nebo něčeho jiného. Tyto parametry můžete definovat v dotazu. Po vygenerování výstrahy dočasně potlačí pravidlo.
Pokud chcete potlačit pravidlo mimo dobu dalšího spuštění, pokud se vygeneruje výstraha, zapněte po vygenerování výstrahy možnost Zastavit spuštěný dotaz. Pokud tuto možnost zapnete, nastavte možnost Zastavit spuštěný dotaz na dobu, po kterou by měl dotaz přestat běžet, až 24 hodin.
Simulujte výsledky nastavení dotazu a logiky.
V oblasti Simulace výsledků vyberte Možnost Test s aktuálními daty a podívejte se, jak by výsledky pravidla vypadaly, kdyby byly spuštěné na aktuálních datech. Microsoft Sentinel simuluje spuštění pravidla 50krát na aktuálních datech pomocí definovaného plánu a zobrazuje graf výsledků (událostí protokolu). Pokud dotaz upravíte, znovu vyberte Testovat s aktuálními daty a aktualizujte graf. Graf zobrazuje počet výsledků v časovém období definovaném nastavením v části Plánování dotazů.
Vyberte Další: Nastavení incidentu.
Konfigurace nastavení vytvoření incidentu
Na kartě Nastavení incidentu zvolte, jestli Microsoft Sentinel změní výstrahy na incidenty s možností reakce a jestli a jak se výstrahy seskupují v incidentech.
Povolte vytvoření incidentu.
V části Nastavení incidentu se vytvoří incidenty z výstrah aktivovaných tímto analytickým pravidlem ve výchozím nastavení na Povoleno. To znamená, že Microsoft Sentinel vytvoří jeden samostatný incident od každého a každé výstrahy aktivované pravidlem.
Pokud nechcete, aby toto pravidlo vedlo k vytvoření incidentů (například pokud toto pravidlo pouze shromažďuje informace pro následné analýzy), nastavte toto pravidlo na Zakázáno.
Důležité
Pokud jste microsoft Sentinel nasadili na portál Microsoft Defender, ponechte toto nastavení povolené.
Pokud chcete vytvořit jeden incident ze skupiny výstrah, místo jednoho pro každou jednotlivou výstrahu se podívejte na další část.
Nastavte nastavení seskupení výstrah.
Pokud chcete, aby se jeden incident vygeneroval ze skupiny s až 150 podobnými nebo opakovanými výstrahami (viz poznámka), nastavte výstrahy související se skupinou, aktivované tímto analytickým pravidlem, do incidentů na Povoleno a nastavte následující parametry.
Omezit skupinu na výstrahy vytvořené v rámci vybraného časového rámce: Nastavte časový rámec, ve kterém jsou podobná nebo opakovaná upozornění seskupené dohromady. Výstrahy mimo tento časový rámec generují samostatný incident nebo sadu incidentů.
Seskupte výstrahy aktivované tímto analytickým pravidlem do jednoho incidentu: Zvolte, jak se výstrahy seskupují:
Možnost Popis Seskupení výstrah do jednoho incidentu, pokud se shodují všechny entity Výstrahy jsou seskupené, pokud sdílejí stejné hodnoty pro každou mapovanou entitu (definovanou na kartě Nastavit logiku pravidla výše). Toto je doporučené nastavení. Seskupte všechna upozornění aktivovaná tímto pravidlem do jednoho incidentu. Všechna upozornění vygenerovaná tímto pravidlem jsou seskupené dohromady, i když sdílejí žádné identické hodnoty. Seskupení výstrah do jednoho incidentu, pokud se shodují vybrané entity a podrobnosti Výstrahy jsou seskupené, pokud sdílejí stejné hodnoty pro všechny mapované entity, podrobnosti výstrahy a vlastní podrobnosti vybrané z příslušných rozevíracích seznamů. Opětovné otevření uzavřených odpovídajících incidentů: Pokud se incident vyřešil a zavřel, a později se vygeneruje další výstraha, která by měla patřit do tohoto incidentu, nastavte toto nastavení na Povoleno, pokud chcete, aby se zavřený incident znovu otevřel, a pokud chcete, aby výstraha vytvořila nový incident, ponechte upozornění zakázané.
Poznámka:
Do jednoho incidentu je možné seskupit až 150 výstrah .
Incident se vytvoří až po vygenerování všech výstrah. Všechna upozornění se do incidentu přidají okamžitě po jeho vytvoření.
Pokud se vygeneruje více než 150 výstrah, které je seskupí do jednoho incidentu, vygeneruje se nový incident se stejnými podrobnostmi incidentu jako původní a nadbytečná upozornění se seskupí do nového incidentu.
Vyberte Další: Automatizovaná odpověď.
Kontrola nebo přidání automatizovaných odpovědí
Na kartě Automatizované odpovědi se podívejte na pravidla automatizace zobrazená v seznamu. Pokud chcete přidat všechny odpovědi, které ještě nejsou pokryté existujícími pravidly, máte dvě možnosti:
- Pokud chcete, aby přidaná odpověď platila pro mnoho nebo všechna pravidla, upravte existující pravidlo.
- Výběrem možnosti Přidat nové vytvořte nové pravidlo automatizace, které bude platit pouze pro toto analytické pravidlo.
Další informace o tom, k čemu můžete použít pravidla automatizace, najdete v tématu Automatizace reakcí na hrozby v Microsoft Sentinelu pomocí pravidel automatizace.
- V části Automatizace upozornění (Classic) v dolní části obrazovky uvidíte všechny playbooky, které jste nakonfigurovali tak, aby se spouštěly automaticky, když se výstraha vygeneruje pomocí staré metody.
Od června 2023 už nemůžete do tohoto seznamu přidávat playbooky. Playbooky, které jsou zde uvedeny, budou nadále spuštěny, dokud nebude tato metoda zastaralá, a to od března 2026.
Pokud tu stále máte nějaké playbooky, měli byste místo toho vytvořit pravidlo automatizace na základě triggeru vytvořeného upozornění a vyvolat playbook z pravidla automatizace. Až to uděláte, vyberte tři tečky na konci řádku playbooku uvedeného tady a vyberte Odebrat. Úplné pokyny najdete v tématu Migrace playbooků aktivující výstrahy Microsoft Sentinelu do pravidel automatizace.
- Vyberte Další: Zkontrolujte a vytvořte , abyste zkontrolovali všechna nastavení nového analytického pravidla.
Ověření konfigurace a vytvoření pravidla
Jakmile se zobrazí zpráva Ověření proběhlo úspěšně, vyberte Vytvořit.
Pokud se místo toho zobrazí chyba, vyhledejte a vyberte červenou X na kartě průvodce, kde došlo k chybě.
Opravte chybu a vraťte se na kartu Revize a vytvořte , abyste ověření spustili znovu.
Zobrazení pravidla a jeho výstupu
Zobrazení definice pravidla
Nově vytvořené vlastní pravidlo (typu Naplánovano) najdete v tabulce na kartě Aktivní pravidla na hlavní obrazovce Analýza . V tomto seznamu můžete každé pravidlo povolit, zakázat nebo odstranit.
Zobrazení výsledků pravidla
Pokud chcete zobrazit výsledky analytických pravidel, která vytvoříte na webu Azure Portal, přejděte na stránku Incidenty , kde můžete určit prioritu incidentů, prozkoumat je a napravit hrozby.
Ladění pravidla
- Dotaz pravidla můžete aktualizovat tak, aby vyloučil falešně pozitivní výsledky. Další informace najdete v tématu Zpracování falešně pozitivních výsledků v Microsoft Sentinelu.
Poznámka:
Výstrahy vygenerované v Microsoft Sentinelu jsou dostupné prostřednictvím Microsoft Graph Security. Další informace najdete v dokumentaci k upozorněním microsoft Graph Security.
Export pravidla do šablony ARM
Pokud chcete pravidlo zabalit pro správu a nasazení jako kód, můžete pravidlo snadno exportovat do šablony Azure Resource Manageru (ARM). Můžete také importovat pravidla ze souborů šablon, abyste je mohli zobrazit a upravit v uživatelském rozhraní.
Další kroky
Pokud k detekci hrozeb z Microsoft Sentinelu používáte analytická pravidla, ujistěte se, že povolíte všechna pravidla přidružená k připojeným zdrojům dat, abyste zajistili úplné pokrytí zabezpečení pro vaše prostředí.
Pokud chcete automatizovat povolení pravidel, nasdílení pravidel do Microsoft Sentinelu prostřednictvím rozhraní API a PowerShellu, i když to vyžaduje další úsilí. Při použití rozhraní API nebo PowerShellu musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell může být užitečné při povolování pravidel v několika instancích Služby Microsoft Sentinel se stejnými nastaveními v každé instanci.
Další informace naleznete v tématu:
- Řešení potíží s analytickými pravidly v Microsoft Sentinelu
- Navigace a vyšetřování incidentů v Microsoft Sentinelu
- Entity ve službě Microsoft Sentinel
- Kurz: Použití playbooků s pravidly automatizace v Microsoft Sentinelu
Také se naučíte z příkladu použití vlastních analytických pravidel při monitorování zoomu pomocí vlastního konektoru.